入侵检测系统根据数据来源如何分类

按照数据来源可以将入侵检测系统分为：

• 基于主机的入侵检测系统：获取数据的来源是系统运行所在的主机，保护的目标也是系统运行所在的主机。

• 基于网络的入侵检测系统：获取的数据是网络传输的数据包，保护的目标是网络的运行。

• 混合型入侵检测系统：综合了基于主机的入侵检测系统和基于网络的入侵检测系统技术的优点，实现对网络和主机的全面检测。

根据分析数据时采用的检测方法如下:

• 基于误用的入侵检测系统：通过预先精确定义的入侵签名对观察到的用户和资源使用情况进行检测。

• 基于异常情况的入侵检测系统：是从审计记录中抽取一些相关量进行统计，为每个用户建立一个用户扼要描述文件，当用户行为与以前的差异超过设定的值时，就认为有可能有入侵行为发生。